Contoh kebijakan berbasis identitas Direct Connect menggunakan kondisi berbasis tag - AWS Direct Connect

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan berbasis identitas Direct Connect menggunakan kondisi berbasis tag

Anda dapat mengontrol akses ke sumber daya dan permintaan menggunakan ketentuan kunci tanda. Anda juga dapat menggunakan ketentuan dalam kebijakan IAM Anda untuk mengontrol apakah kunci tanda tertentu dapat digunakan pada sumber daya atau dalam permintaan.

Untuk informasi tentang cara menggunakan tag dengan kebijakan IAM, lihat Mengontrol Akses Menggunakan Tag di Panduan Pengguna IAM.

Mengaitkan antarmuka virtual Direct Connect berdasarkan tanda

Contoh berikut menunjukkan cara membuat kebijakan yang membantu menghubungkan antarmuka virtual saja jika tanda berisi kunci lingkungan dan nilai praproduksi atau produksi.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:AssociateVirtualInterface" ], "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": [ "preprod", "production" ] } } }, { "Effect": "Allow", "Action": "directconnect:DescribeVirtualInterfaces", "Resource": "*" } ] }

Mengontrol akses ke permintaan berdasarkan tanda

Anda dapat menggunakan kondisi dalam kebijakan IAM untuk mengontrol pasangan nilai kunci tag mana yang dapat diteruskan dalam permintaan yang menandai sumber daya. AWS Contoh berikut menunjukkan cara membuat kebijakan yang memungkinkan penggunaan AWS Direct Connect TagResource tindakan untuk melampirkan tag ke antarmuka virtual hanya jika tag berisi kunci lingkungan dan nilai preprod atau produksi. Sebagai praktik terbaik, gunakan pengubah ForAllValues dengan kunci ketentuan aws:TagKeys untuk menunjukkan bahwa hanya lingkungan kunci yang diperbolehkan dalam permintaan.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:RequestTag/environment": [ "preprod", "production" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "environment"} } } }

Mengontrol kunci tanda

Anda dapat menggunakan ketentuan dalam kebijakan IAM Anda untuk mengontrol apakah kunci tanda tertentu dapat digunakan pada sumber daya atau dalam permintaan.

Contoh berikut menunjukkan cara membuat kebijakan yang memungkinkan Anda menandai sumber daya, namun hanya dengan lingkungan kunci tanda

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "environment" ] } } } }